Thomas Zaffino

Shazam ascolta gli utenti Mac

Come scoperto da un processo di reverse engineering e confermato dalla stessa software house, l'app per OS X mantiene attivo il microfono anche quando è disattivata. Almeno fino al prossimo aggiornamento

Roma - Due giorni, fa, l'hacker Patrick Wardle ha pubblicato sul proprio blog Objective-See un post provocatoriamente intitolato "Dimenticare la NSA, è Shazam ad essere sempre in ascolto!": spiega con dovizia di particolari come, attraverso un'operazione di reverse engineering sull'applicazione, abbia verificato come nella versione di Shazam per OS X il microfono rimanga sempre attivo, anche quando l'utente preme sul tasto "OFF" per disattivarla.

App Shazam e OverSight

L'app, molto utilizzata tra gli utenti di qualsiasi piattaforma, a sette anni dalla sua comparsa ha mantenuto la peculiare funzione: basta premere un pulsante per identificare, in pochi istanti, il titolo di un brano in esecuzione nell'ambiente circostante. Secondo quanto riferito da Wardle, tutto è iniziato con un'email nella quale un utente di OverSight, l'app creata da Wardle allo scopo di allertare gli utenti Mac quando un'app tenta di utilizzare il microfono o la webcam di un MacBook, iMac, Mac mini o Mac Pro all'insaputa dell'utente, scrive: "Grazie a OverSight sono stato in grado di comprendere il motivo per cui il microfono mi spia in continuazione. Solo per farvi sapere, il widget di Shazam mantiene il microfono attivo anche quando l'interruttore viene posto sulla posizione su OFF all'interno dell'applicazione. Spaventoso.". Wardle ha voluto verificare di persona e, dopo avere osservato che l'app OverSight segnalava la disattivazione del microfono, spegnendo l'app dall'apposito pulsante, ha deciso di operare un'azione di reverse engineering su Shazam per OS X per ottenere un'ulteriore conferma del comportamento dell'applicazione.

Email Assistenza Shazam

Dall'operazione, come ammesso dallo stesso ricercatore, emerge chiaramente come il microfono rimanga attivo, anche se non sono state rilevate tracce di attività per l'analisi, il salvataggio o il trasferimento dei campioni su server terzi. Tanto è comunque bastato a Wardle per disinstallare l'app e decidere di contattare il servizio di assistenza di Shazam per chiedere informazioni.
Nell'email di risposta, resa pubblica da Wardle, si legge come non si tratti di un bug quanto di una scelta deliberata degli sviluppatori, per una questione di prestazioni, al fine di rendere immediatamente pronta l'app quando l'utente la riattiva premendo su "ON". Nel testo della riposta l'azienda riferisce anche che il problema sarà risolto con un prossimo aggiornamento.
Il Chief Product Officer di Shazam, Fabio Santini, intervistato da CNET ha sostanzialmente replicato quanto scritto nell'email di risposta, confermando la soluzione del problema nel giro di pochi giorni, con un aggiornamento. Santini ha inoltre chiarito come, nel caso un hacker entrasse in possesso dei dati acquisiti dal microfono, questi non sarebbe in grado di intercettare conversazioni personali: "Shazam cattura solo campioni in alcuni punti dell'onda sonora per creare un'impronta identificativa da utilizzare nel confronto con quelle presenti nel database musicale della società", aggiungendo che "tali campioni non possono essere decodificati per ricostruire l'audio originale".

Thomas Zaffino

Fonte immagini
Notizie collegate
  • TecnologiaFacebook ha orecchioUn bottone per aprire al social network il microfono del proprio smartphone: Facebook, al pari di servizi come Shazam, identificherà musica e show televisivi. Condivisione agevolata per advertising che conta
  • TecnologiaShazam mette il pilota automatico Con Auto Shazam l'app attiva l'ascolto con smartphone bloccato o al lavoro con altre app. Disponibile per iOS, la novità arriverà a breve su Android e Windows Phone.
  • AttualitàShazam, ascoltare pagaSecondo il CEO della società britannica, il 13 per cento dei suoi utenti acquista un brano dopo aver scoperto chi lo canta. Tutto grazie alla sua applicazione
26 Commenti alla Notizia Shazam ascolta gli utenti Mac
Ordina
  • ...e naturalmente per le leggi va tutto bene così.
    E poi la spiegazione di Shazam sul perché il micorfono rimane attivo, con la promessa contestuale di una patch correttiva, sono una vera e propria presa per il culo.
    E poi non c'è solo Shazam.
    SoundHound, per esempio, cosa fa nel frattempo?
    non+autenticato
  • "Shazam cattura solo campioni in alcuni punti dell'onda sonora per creare un'impronta identificativa da utilizzare nel confronto con quelle presenti nel database musicale della società", aggiungendo che "tali campioni non possono essere decodificati per ricostruire l'audio originale"

    Però nello stesso modo in cui identifica un brano potrebbe identificare l'utente (non come nome e cognome, ma come "la persona con ID xyz01". Così come magari il luogo in cui si trova (bar, ufficio, casa), associando così un pelo più di informazione.
    Insomma potrebbe benissimo essere un metodo di tracciamento.

    Quanto costa shazam? Ah, è gratis?

    E siamo sempre lì. Se è gratis, il prodotto sei tu. Basta guardare il modello di business del produttore per capirlo.
  • - Scritto da: bertuccia

    > E siamo sempre lì. Se è gratis, il prodotto sei
    > tu. Basta guardare il modello di business del
    > produttore per
    > capirlo.
    Quanto costa OSX?
    N.B. è su un baco OSX (noto e unpatched da 7 dico sette anni) che si appoggia quella "feature" di shazam...
    (normale vero che una "app acceda al microfonosenza chiedere all'OS? Rotola dal ridereRotola dal ridere ).
    Intanto che ci pensi ... trovaci unaa fattura in cui ci sial il costo di OSX
    Ficoso
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    >
    > Quanto costa OSX?

    Sei un bot?
    Capisci quello che leggi?

    "Basta guardare il modello di business del produttore per capirlo."

    Da dove prende i soldi Apple, per pagare gli sviluppatori di OS X?
    Dal ferro.

    Da dove li prende shazam?
    Boh, immagino dalla pubblicità mirata e dal tracking dell'utente

    > N.B. è su un baco OSX (noto e unpatched da 7 dico
    > sette anni) che si appoggia quella "feature" di
    > shazam...

    quale bug di OS X?

    > (normale vero che una "app acceda al
    > microfonosenza chiedere all'OS? Rotola dal ridereRotola dal ridere

    Veramente il permesso glielo da l'utente. Che poi nell'app ci sia un controllo che ti dice che fa una cosa e poi ne fa un'altra è un discorso diverso
  • - Scritto da: bertuccia

    > "Basta guardare il modello di business del
    > produttore per
    > capirlo."
    Già quale è il "modellodibusiness OSX" vado in perdita?
    Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    > Da dove prende i soldi Apple, per pagare gli
    > sviluppatori di OS
    > X?
    > Dal ferro.
    ah davvero?
    E allora perchè colleziona i tuoi dati?
    Rotola dal ridereRotola dal ridereRotola dal ridere
    >
    > Da dove li prende shazam?
    > Boh, immagino dalla pubblicità mirata e dal
    > tracking
    > dell'utente
    Beh questo dovresti chiederlo all'Apple store!
    A proposito di "modellodibusiness"
    Loro lo sanno di certo!
    Ficoso

    > quale bug di OS X?
    Privilege escalation!

    > Veramente il permesso glielo da l'utente. Che poi
    > nell'app ci sia un controllo che ti dice che fa
    > una cosa e poi ne fa un'altra è un discorso
    > diverso
    No il permesso lo chiede per attivarsi la prima volta non per continuare ad avere accesso indefinito al microfono.
    Ficoso
    Una volta dato (una volta) è fatta!
    Ficoso
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    >
    > Già quale è il "modellodibusiness OSX" vado in
    > perdita?
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Apple finanzia lo sviluppo di OS X tramite i ricavi che ottiene dalla vendita dei Mac (e due). Alla prossima disegnino?


    > ah davvero?
    > E allora perchè colleziona i tuoi dati?
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Apple non ci fa un centesimo con lo sfruttamento dei miei (pochi) dati personali a cui ha accesso. La garanzia sulla mia privacy è scritta in ogni bilancio di Apple. Non ci sono voci riguardo lo sfruttamento dei miei dati personali.

    Google ad esempio, allo stesso modo delle app free come shazam, ha un modello di business basato al 90%+ sullo sfruttamento commerciali dei dati dei suoi utenti.


    > Beh questo dovresti chiederlo all'Apple store!
    > A proposito di "modellodibusiness"
    > Loro lo sanno di certo!
    > Ficoso

    lo sanno loro, lo so io, lo sai tu.
    Le app free, al pari di google, campano grazie allo sfruttamento commerciali dei dati degli utenti.
    Che siano su app store o play store.

    >
    > Privilege escalation!

    Basta, sono stufo delle tue buffonate.

    https://objective-see.com/blog/blog_0x13.html

    Non c'è nessun bug di OS X e nessuna privilege escalation.
    C'è solo un'app che dice all'utente che sta facendo una cosa e in realtà non la fa.

    Sappi bene che quando abbandono la discussione con te è solo perchè mi hai stufato con le tue buffonate e la tua lentezza mentale

    /PLONK
  • - Scritto da: bertuccia
    > Apple non ci fa un centesimo con lo sfruttamento
    > dei miei (pochi) dati personali a cui ha accesso.
    > La garanzia sulla mia privacy è scritta in ogni
    > bilancio di Apple. Non ci sono voci riguardo lo
    > sfruttamento dei miei dati
    > personali.

    Lo sai, vero, che questo discorso vale se usi solo app made in Apple?
    Per tutte le altre app iOS (a pagamento e non), tu utente non puoi sapere se e quanto lo sviluppatore si appoggia a servizi Google dietro le quinte, con tutti i tuoi dati che circolano tra server Apple e server Google.

    Esempio: prova a capire quali app hai installato che sfruttano sta roba:
    https://developers.google.com/analytics/devguides/.../
    -----------------------------------------------------------
    Modificato dall' autore il 17 novembre 2016 11.20
    -----------------------------------------------------------
  • - Scritto da: bertuccia

    > Apple finanzia lo sviluppo di OS X tramite i
    > ricavi che ottiene dalla vendita dei Mac (e due).
    > Alla prossima
    > disegnino?
    Si e allora perchè incassa soldi dai developers?
    Disegnino?
    Rotola dal ridereRotola dal ridereRotola dal ridere


    > Apple non ci fa un centesimo con lo sfruttamento
    > dei miei (pochi) dati personali a cui ha accesso.
    > La garanzia sulla mia privacy è scritta in ogni
    > bilancio di Apple.

    No sul bilancio ci sono solo le voci che ci mette (come per tutte le aziende) l'adv ad esempio non è obbligata a mettercelo può (per legge) accorparlo in altre voci se non è il suo core business!
    D'altra parte (sempre se non è il suo core business) lo stesso può fare il vendor di hardware!
    Ma se quella è l'unica fonte di guadagno deve (per legge) scriverlo a bilancio!
    Il che contrasta con le tue affermazioni!
    (e con la realtà e la legge se sei quotato in borsa)
    Cioè che i vendor hw (tranne sic... Triste Apple ) stanno in piedi con l'advertising!
    Come la mettiamo?
    Faccio disegnino?
    Rotola dal ridereRotola dal ridereRotola dal ridere
    La macacologica fa (forse) le pentole ma non i coperchi!
    non+autenticato
  • Pensavo che sul fondo del barile ci fosse il "codardo" .... invece vedo te che addirittura scavi.

    Ma ti rendi conto delle minchiate assurde che stai scrivendo ?

    "Privilege escalation" ? DelusoDelusoDelusoDeluso
  • - Scritto da: giaguarevol issimevolm ente
    > > quale bug di OS X?
    > Privilege escalation!

    Guarda dubito fortemente che una app che sta sul mac app store faccia uso di privilege escalation per funzionare, se non altro per il controllo a livello di api che fanno prima di approvare o meno la pubblicazione.
    mura
    1702
  • - Scritto da: mura

    > Guarda dubito fortemente che una app che sta sul
    > mac app store faccia uso di privilege escalation
    > per funzionare, se non altro per il controllo a
    > livello di api che fanno prima di approvare o
    > meno la
    > pubblicazione.
    Beh non è ne la prima ne l'ultima sul repository ufficiale che lo fa.
    http://punto-informatico.it/4306726/PI/News/ios-de...
    Auguri (e tagliatelle almeno su quello siamo d'accordo)
    A bocca aperta
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: mura
    >
    > > Guarda dubito fortemente che una app che sta
    > sul
    > > mac app store faccia uso di privilege
    > escalation
    > > per funzionare, se non altro per il
    > controllo
    > a
    > > livello di api che fanno prima di approvare o
    > > meno la
    > > pubblicazione.
    > Beh non è ne la prima ne l'ultima sul repository
    > ufficiale che lo
    > fa.
    > http://punto-informatico.it/4306726/PI/News/ios-de
    > Auguri (e tagliatelle almeno su quello siamo
    > d'accordo)
    > A bocca aperta
    avevano fatto anche di peggio.. ricordi l'affaire "xcodeghost"? li' crollo' definitivamente il mito del "controllo accurato delle API blabla"
    non+autenticato